（计算机软件与理论专业论文）移动介质安全控制的研究与实现.pdf

丝 塞窑 适 厶 堂亟堂位丝塞垴 垩 摘要 摘要： 随着信息化的程度越来越高，企业和政府机构内部信息系统中存有的敏感信 息越来越多，而移动介质如u 盘，移动硬盘等使用的普遍性，使得防止这些信息 通过内部人员的泄漏成为一个急需解决的问题。 本文在研究可信计算理论和各种访问控制模型的基础上，结合企业和政府机 构的实际情况，提出了一个通过可信内核实现可信终端的解决方案，同时采用基 于角色的强制访问控制模型，设计实现了一个移动介质安全控制系统。 移动介质安全控制系统由u s bk e y 身份认证模块和文件过滤驱动两部分组 成。u s bk e y 身份认证模块采用双因子身份认证控制用户登录，增强系统安全性。 该模块通过替换w i n d o w s 默认的g i n a 动态库实现。文件过滤驱动是控制系统的 核心组成部分，通过将过滤驱动对象挂接到目标设备上，可以捕获用户所有的文 件操作，并利用u s bk e y 提供的加解密功能对文件内容进行透明加解密，拷贝出 来的信息都是以密文方式存储，在没有u s bk e y 的情况下，非授权用户无法阅读， 从而达到了对移动介质的安全控制。 最后，本文分析了移动介质安全控制系统的特点，它可以控制用户安全登录， 与w i n d o w s 操作系统无缝结合。同时也达到了安全控制的效果，不限制用户使用 移动存储介质，符合企业和政府的实际需求，并且可以有效地防止信息泄漏事故 的发生。 关键词：信息泄漏，介质控制，u s bk e y ，文件过滤驱动 分类号：t p 3 0 9 j k 塞窑堡厶堂亟竺位纶塞旦s ! b 至 a b s t r a c t a b s t r a c t ： a st h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , t h e r ei sm o r ea n dm o r ei n t e r n a l s e n s i t i v ei n f o r m a t i o ni nc o m p u t e r so fe h t e r p r i s ea n dg o v e r n m e n to r g a n i z a t i o n b e c a u s e o f t h ew i d eu s a g eo f m o b i l em e d i u m ，s u c ha su s bm a s ss t o r a g ed e v i c e ，p o r t a b l eh a r d d r i v ee t c ，i tb e c o m e st h ee x i g e n td e m a n dt h a th o wt op r o t e c tt h es e n s i t i v ei n f o r m a t i o n f r o ml e a k i n go u tt h r o u g hi n t e r n a lp e r s o n n e l ，e s p e c i a l l yb ym o b i l em e d i u m o nt h eb a s i so fs t u d yt r u s t e dc o m p u t i n gt h e o r ya n da c c e s sc o n t r o lm o d e l ，t h i sp a p e r p r e s e n t sas c h e m ew h i c hi m p l e m e n tt r u s t e dt e r m i n a lb yt r u s t e dk e r n e lt oc o r r e s p o n d w i mt h ea c t u a ln e e d so fe n t e r p r i s ea n dg o v e r n m e n t m e a n w h i l e w eu s eas i m p l i f i e d r o l e - b a s e dm a n d a t o r ya c c e s sc o n t r o lm o d e l ，d e s i g na n di m p l e m e n tam o b i l em e d i u m s e c u r i t yc o n t r o ls y s t e m m o b i l em e d i u ms e c u r i t yc o n t r o ls y s t e mh a st w oc o m p o n e n t s ，u s bk e yi d e n t i t y a u t h e n t i c a t i o nm o d u l ea n df i l es y s t e mf i l t e rd r i v e r u s bk e yl d e n t i t ya u t h e n t i c a t i o n m o d u l eu s e sd o u b l ef a c t o r si d e n t i t ya u t h e n t i c a t i 0 1 1t oc o n t r o lu s e rl o g o np r o c e s st o e n h a n c es y s t e ms e c u r i t y t h i sm o d u l ei si m p l e m e n t e dt h r o u g ht a k i n gt h ep l a c eo f w i n d o w sd e f a u l tg i n a ( g r a p h i c a li d e n t i f i c a t i o na n da u t h e n t i c a t i o n ) d l l f i l es y s t e m f i l t e rd r i v e ri st h ec o r ec o m p o n e n to ft h ec o n t r o ls y s t e m i tc a nc a p t u r ea l lt h ef i l e o p e r a t i o no f t h et a r g e td e v i c et ow h i c ht h ef i l t e rd r i v e ro b j e c ti sa t t a c h e d 。t h e ni tm a k e s u s eo fe n c r y p t i o no rd e c r y p t i o nf u n c t i o ns u p p o r t e db yu s bk e yt od ot h et r a n s p a r e n t e n c r y p t i o no rd e c r y p t i o no p e r a t i o n t h ec o n t e n tc o p i e do u ti se n c r y p t e d ，g ot h e u n a u t h o r i z e du s e rc a n n o tr e a di tw i t h o u tu s bk e y = t h u si tc a l le o n t r o lm o b i l em e d i u m s a f e l y f i n a l l y , t h i sp a p e ra n a l y z e st h ef e a t u r eo f m o b i l em e d i u ms e c u r i t yc o n t r o ls y s t e m ， 1 1 1 es y s t e mc a nc o n t r o lu s e rl o g o nt h eo ss e c u r e l y , a n di ti si n t e g r a t e dw i t hw i n d o w s o p e r a t i n gs y s t e ms e a m l e s s l y m e a n w h i l e ，t h es y s t e ma l s oa c h i e v e st h er e s u l to fs e c u r i t y c o n t r 0 1 t h e r ei sr i or e s t r i c t i o no fu s i n gm o b i l em e d i u m ，s oi tm e e t st h ea c t u a l r e q u i r e m e n to fe n t e r p r i s ea n dg o v e r n m e n t ，a sw e l la s c a np r e v e n tt h ei n f o r m a t i o n l e a k a g ee f f e c t i v e l y k e y w o r d s ：i n f o r m a t i o nl e a k a g e , m e d i u mc o n t r o l ，u s bk e y , f i l es y s t e mf i l t e r d r i v e r c l a s s n o ：t p 3 0 9 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：萼懈 签字日期：刎年j 硐吖日 导师签名： 动喀百致 签字日期：7 睁9 年、月刁日 e 立窑丝厶堂亟堂位论塞独剑世庄哩 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：孳嚷卿签字日期：锄妒7 年他月叫日 5 7 致谢 本论文的工作是在我的导师刘吉强教授的悉心指导下完成的，刘吉强教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢两年半 来刘吉强老师对我的关心和指导。 韩臻教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给予 了我很大的关心和帮助，在此向韩臻老师表示衷心的谢意。 赵勇搏士对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷心 的感谢。 在实验室工作及撰写论文期间，谭清、张静等同学对我论文中的理论研究工 作给予了热情帮助，在此向他们表达我的感激之倩。 同时感谢与我一起攻读硕士学位的戴月、郭煜、熊鹰等同学，几年来的学习 交流，友好相处丰富了我的学习和生活。 另外也感谢家人和朋友，他们的理解和支持使我能够在学校专心完成我的学 生匕。 e塞銮煎厶堂亟翌垃硷塞 l矗 1 引言 1 1 研究目的和意义 当今社会是科学技术高度发展的信息社会，人类的一切活动都离不开信息， 信息已成为推动社会前进的巨大资源。随着企业和政府机构信息技术越来越广泛、 深入地应用，各种先进的网络及应用技术在给企业和政府机构带来工作和管理高 效率的同时，却易造成信息，数据被非法窃取、复制、使用，给涉及国家机密及 企业内部敏感数据的安全管理带来了极大的挑战。计算机处理的信息，很多是涉 及国家军事、政治、经济、金融、工业等重要情报和敏感信息，一旦被非法窃取 或篡改，将产生难以估量的损失。 根据美国联邦调查局( f b i ) 和计算机安全机构( c s i ) 的调查结果显示，企 业和政府机构因重要信息被窃所造成的损失超过病毒感染和黑客攻击所造成的损 失，8 5 以上的安全威胁来自内部。就用户访问而言，目前的计算机与2 0 年前的 计算机在安全性能方面没有什么显著提高。任何人只要能够接触到计算机，就可 开机并访问其中的信息，导致计算机中的信息始终面临着被泄露、窃取、篡改和 破坏的巨大危险。由于内部人员往往具有合法的身份，很容易接触到内网中的计 算机终端，在窃取或破坏信息时不易被发觉，事后也难以被发现，因此会造成比 黑客攻击和病毒感染更大的破坏。因此，如何防止企业和政府机构内部员工或外 来者有意或无意的操作将涉及国家机密及企业内部敏感信息的数据外泄，已是企 业和政府当前亟待解决的安全问题。 越来越多的企业已经意识到以上安全问题可能对企业造成的巨大损失，因此 为了防止内部人员通过移动介质如u 盘、移动硬盘等泄漏敏感信息，目前大多数 企业采用禁用这些移动存储设备的方式来防范信息泄漏。但是这些“人治”的方 法，虽然阻止了敏感信息泄漏，但同时也阻止了用户将非敏感信息带到企业应用 环境之外，另外在企业内部由于工作需要，有时不可避免的需要使用移动存储设 备，所以单纯地禁用移动存储介质，降低了系统的可用性，同时也影响了企业的 工作效率。 因此本文针对企业和政府的实际需要，提出了个移动介质安全控制方案， 做到既不限制移动存储介质的使用，又能有效的防止信息泄漏事故的发生。该方 案采用以下安全保密技术来控制计算机内部安全： ( 1 ) 身份鉴别 e巫童堑厶堂 亟 堂位迨 塞i i直 在用户进入( 即使用) 计算机系统之静，系统要对用户的身份进行鉴别，以 判别该用户是否是系统的合法用户，其目的是防止非法用户进入系统。 ( 2 ) 访问控制 防止合法用户对系统资源的非法访问( 或非授权访问) 。 一个经过计算机系统识别和验证后的用户( 合法用户) 进入系统后，并非意 味着他具有对系统所有资源的访问权限。访问控制的任务就是要根据一定的原则 对合法用户的访问权限进行控制，以决定他可以访问哪些资源以及以什么样的方 式访问这些资源。例如，在计算机系统中，可能己存在一些涉密信息，用户对这 些数据一般来说可以进行如下几种操作：打开、关闭、修改、删除、重命名，但 在一个实际的应用系统中，并不是每一个用户对每一个文件都有以上这些操作的 权限。 ( 3 ) 信息流控制 在计算机系统中仅有访闯控制是不够的，还必须有对信息流动的控制。例如 甲可以阅读文件a ，乙无权阅读文件a ，但若不加以控制的话，甲可能将文件a 传 给乙，使得乙超越自己的权限而非法得到了数据。因此在系统中必须控制信息只 能沿着安全的方向( 也就是系统允许的方向) 流动。 ( 4 ) 密码控制 对系统中所存放或传输的文件或数据进行加密，使之成为密文，在用户对其 进行访问( 查询、插入、修改等) 时，按其需要对数据实时地进行加解密。这 是系统安全控制的第三道屏障。在系统的身份鉴别与访问控制这两道防线万一遭 到破坏或用户绕过身份鉴别与访问控制，通过其他途径进入系统时，加密可以保 护数据的机密性，并可发现数据被修改。通俗地说，系统的身份鉴别与访问控制 的作用是“拿不走”，加密的作用是，即使拿走了也“看不懂”。 通过以上技术，就可以在企业内部建立安全的信息共享环境，不影响企业内 部的信息流动，同时防止敏感信息被员工有意或无意地泄漏到企业外部。 1 2 国内外研究现状 国内外众多企业和研究机构针对以上信息泄漏问题进行了研究并提出了各自 的解决方案。 为了提高计算机的安全防护能力，i n t e l 、微软、i b m 、h p 和c o m p a q 早在1 9 9 9 年1 0 月共同发起成立了t c p a ( t r u s t e dc o m p u t i n gp l a t f o r ma l l i a n c e 可信计算平 台联盟) 。t c p a 定义了具有安全存储和加密功能的t p m ( t r u s t e dp l a t f o t t nm o d u l e 可信平台模块) ，并于2 0 0 1 年1 月3 0 只发布了基于硬件安令子系统的“t r u s t e d 2 e 立窑塑 厶 堂 鲤堂位迨 塞 i吉 c o m p u t i n gp l a t f o r ms p e c i f i c a t i o n s ”1 0 版标准。该标准通过在计算机系统中嵌入一 个可抵制篡改的独立计算引擎( c o m p u t i n ge n g i f i e ) ，使非法用户无法对其内部的 数据迸行更改，从而确保了身份认证和数据加密的安全性。2 0 0 3 年t c p a 改组为 可信计算组织( t c g ) ，同年l o 月发靠了t p m 主规范( v 1 2 ) ，其成员迅速扩大为 近2 0 0 家。 2 0 0 2 年底，m m 发布了款带有嵌入式安全子系统e s s ( e m b e d d e ds e c u r i t y s u b s y s t e m ) 的笔记本电脑。基于硬件的e s s 嵌入式安全子系统符合t c p a 标准， e s s 具有身份认证、加密、解密、签名和鉴别等多种安全保密手段，e s s 依靠安 全子系统保存的密钥进行数据保护，只有通过身份认证，例如输入密码或通过认 证设备的用户才可以解密文件。 微软在2 0 0 2 年提出了“p a l l a d i u m ”计划，随后改为n g s c b ( 下一代安全计 算基础，n e x tg e n e r a t i o ns e c u r ec o m p u t i n gb a s e ) ，目的是为构建下代安全计算 平台环境提供基于硬软件的整套方案。微软在代号为“1 0 n 曲o m ”的操作系统( 即 w i n d o w sv i s t a 操作系统) 中采用该技术。微软于2 0 0 6 年底发布w i n d o w sv i s t a 操 作系统，v i s t a 操作系统核心增加了新的安全处理组件。构建相对而言的“安全p c ”。 v i s t a 中的高级数据保护技术降低了计算机丢失或者失窃时其中的数据被未授权用 户查看的风险。v i s t a 还支持全卷加密以防止其他操作系统从磁盘访问文件。它还 将密钥存储在一个可信平台模型( t p m ) v 1 2 芯片中。整个系统分区都是加密的， 不管是休眠的文件还是用户数据。 国内在这方面也有许多研究成果，如中科院自动化所设计的基于指纹的登录 系统；武汉瑞达公司和武汉大学合作研制出的我国第一款可信计算机；上海巨澜 公司的p c - k e y 系统提供了系统保护和文件加解密功能。 1 3 论文的组织结构 本论文基于北京交通大学信息安全与系统结构研究中心“w i n d o w s 操作系统 安全加固”项目，本人主要负责对移动介质的安全控制部分。经过对现有安全控 制策略的研究，以及对不同用户需求的调研，以更安全、更有效地保护企业敏感 信息为目的，设计并实现了一个安全实用的移动介质安全控制系统。 论文第一章介绍了研究移动介质安全控制的必要性以及目的和意义，另外还 介绍了国内外的一些研究成果，最后介绍了论文的组织结构。 第二章主要是相关理论的研究概述。主要介绍了可信计算平台相关概念，包 括可信计算基、可信计算平台、可信任链、可信终端等；三种常用的访问控制模 型，即自主访问控制模型、强制访问控制模型以及基f 角色的访问控制模型，重 些峦童堑厶堂亟堂位迨塞 i主 点讨论了强制访问控制模型和基于角色的访问控制模型。 第三章在介绍了w i n d o w s 登录原理的基础上，详细描述了移动介质安全控制 系统身份认证模块的实现过程。 第四章主要介绍移动介质安全控制系统的核心部分文件过滤驱动模块的 实现原理及具体操作。首先介绍了w i n d o w sn t 文件系统组成及过滤驱动工作原 理，然后描述了移动介质安全控制系统文件过滤驱动的重要数据结构和各部分实 现细节。 第五章总结了整个系统的特点和工作方式，最后描述了系统的测试情况。 第六章总结论文主要工作，提出下一步研究方向。 4 e 立窆堑厶堂亟堂位逾塞 毯釜翅望1 2 预备知识 2 1 可信计算平台 1 9 9 9 年l o 月i n t e l 、c o m p a q 、l i p 、i b m 、m i c r o s o f t 发起了一个“可信计算 平台联盟”( t r u s t e dc o m p u t i n gp l a t f o r ma l l i a n c e ，t c p a ) ，并提出了“可信计算” 的概念，力图利用可信技术构建一个通用的终端硬件平台。t c p a 定义了具有安全 存储和加密功能的可信平台模块( t p m ) ，并于2 0 0 1 年1 月发布了基于硬件系统 的“可信计算平台规范”( v 1 0 ) ，2 0 0 3 年t c p a 改组为可信计算组织( t c g ) ，同年 l o 月发布了t p m 主规范( v 1 2 ) ，其成员迅速扩大为近2 0 0 家，使得“可信计算” 迅速遍及全球。t c g 首次提出可信计算机平台的概念，并把这一概念具体化到微 机、p d a 和移动计算设备，而且具体给出了可信计算平台的体系结构和技术路线。 本小节部分内容来自文献【l 】，在此表示感谢。 2 1 1 可信计算基 可信计算机系统评价标准( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ， t c s e c ) 对作为计算机信息系统安全保护总体机制的可信计算基( t c b ) 给出了如下 定义：t c b 是“计算机系统内保护装置的总体，包括硬件、固件、软件和负责执 行安全策略的组合体。它建立了一个基本的保护环境，并提供个可信计算系统 所要求的附加用户服务”。通常所指的t c b 是构成安全计算机信息系统的所有安 全保护装置的组合体( 通常称为安全子系统) ，以防止不可信主体的干扰和篡改。 2 1 2 什么是可信计算 可信计算的基本思想是在计算机系统中首先建立一个信任根，再建立一条信 任链，一级测量认证一级，一级信任一级，把信任关系扩大到整个计算机系统，从而 确保计算机系统的可信。 说到可信计算首先必须准确地把握“可信”在计算机应用环境中的含义。可 信是一个复杂的概念，目前关于可信还没有形成统一的定义，主要有以下几种说 法： 可信计算组织t c g 从实体行为的角度来定义可信：如果它的行为总是以预期 的方式，朝着预期的目标，则一个实体是可信的。 韭立銮道厶堂亟堂包迨塞塑圣赳 迟 i s o i e c1 5 4 0 8 标准定义可信为：参与计算的组件、操作或过程在任意的条件 下是可预测的，并能很好地抵抗应用程序软件，病毒以及一定的物理干扰造成的 破坏。 可信计算的概念由t c g 提出，但并没有明确定义，而且联盟内部的各大厂商 对“可信计算”的理解也不尽相同。其耳的主要是通过增强现有的p c 终端体系结 构的安全性来保证整个计算机网络的安全。意义就是在计算机网络中搭建一个诚 信体系，每个终端都具有合法的网络身份，并能够被认可；而且终端具有对恶意 代码，如病毒、木马等有免疫能力。在这样的可信计算环境中，任何终端出现问 题，都能保证合理取证，方便监控和管理。可信计算提供的安全功能有：终端设 备认证、数据完整性校验、用户身份认证、用户权限合法性、端口控制和管理、 数据的加密存储、重要信息的硬件保护。这些安全功能保证了使用者、软硬件的 配置、应用程序等的可信，进一步保证了终端的可信，最终构建出可信任的计算 机网络。 总结以上概念可信计算就可以定义为：可信计算是指系统提供可信赖的计算 服务的能力，而这种可信赖性是可以验证的。 2 1 3 可信计算平台 所谓平台是一种能向用户发布信怠或从用户那里接收信息的实体。t c g 给出 的可信计算平台( t r u s t e dc o m p u t i n gp l a t f o r m ，t c p ) 的定义为，能够提供可信计 算服务的计算机软硬件实体，它能够提供系统的可靠性、可用性和信息的安全性。 可信计算平台在更底层进行更高级别防护，通过可信赖的硬件对软件层次的 攻击进行保护可以使用户获得更强的保护能力和选择空间。传统的安全保护基本 是以软件为基础附以密钥技术，事实证明这种保护并不是非常可靠而且存在着被 篡改的可能性。 可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片，并确保 芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系 统中移除，否则理论上是无法突破这层防护的，这也是构建可信的计算机设备以 及建立可信的计算机通信的基础。在硬件层执行保护的另外一个优势是能够获得 独立于软件环境的安全保护，这使得可以设计出具有更高安全限制能力的硬件系 统。 可信计算平台【2 l 基于可信平台模块( t p m ) ，以密码技术为支持、安全操作系统 为核心，如图2 一l 所示。安全操作系统是可信计算平台的核心和基础，没有安全的 操作系统，就没有安全的应用，也不能使t p m 发挥应有的作用。 6 塞銮堑厶：王亟土堂盈监塞 巫盘 趔讴 戍用安伞组件 安全操作系统内孩 密码模块协议栈 l 主 l 可信b t o s l 板 t p m ( 密码模块芯片) l 图2 1 可信计算平台 f i g2 - 1t r u s t e dc o m p u t i n gp l a t f o r m 可信计算平台需要提供三个基本功能： 数据保护：数据保护是通过建立平台屏蔽保护区域，实现敏感数据的访问授 权，从而控制外部实体对这些敏感数据的访问。 身份证明：t c g 的身份证明包括三个层次： 1 ) t p m 可信性证明，是t p m 对其已知的数据提供证据的过程。这个过程通 过使用a i k ( 身份认证密钥) 对t p m 内部的明确数据进行数字签名来实现。 2 ) 平台身份证明，是指提供证据证明平台是可以被信任的，即被证明的平台 的完整性度量过程是可信的。 3 ) 平台可信状态证明，是提供一组可证明有效的平台完整性度量数据的过程。 这个过程通过使用t p m 中的a 1 k 对一组p c r ( 平台配置寄存器) 进行数 字签名实现。 完整性度量、存储与报告： 1 ) 完整性度量，完整性度量的过程是：对影响平台完整性( 可信度) 的平台 部件进行度量，获 导度量值，并将度量值的信息摘要记入p c r 。度量的开 始点称为可信度量根。静态的可信度量根开始于对机器的起始状态进行的 度量，如上电自检状态。动态的可信度量根是以一个不被信任的状态变为 可信状念的度量作为起始点。 2 ) 完整性存储，完整性存储包括了存储完整性度量值的r 志和在p c r 中存储 这些度量值的信息摘要。 7 e壅窑垫厶堂亟鲎位监塞亟釜翅 堡 3 ) 完整性报告，完整性报告用于证实完整性存储的内容。对平台是否可信的 询问j 下是通过“报告”机制来完成的，任何需要知道平台状态的实体需要 让t p m 报告它的度量值和相关开志信息，这个过程需要询问实体和平台之 间进行双向的认证。如果平台的可信环境被破坏了，询问者有权拒绝与该 平台的交互或向该平台提供服务。 完整性度量、存储和报告的基本原理是：一个平台可能会被允许进入任何状 态，但是平台不能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的 进程可以对完整性的状态进行评估并据此作出正确的响应。 2 1 4 可信任链 t c g 认为，从一个初始的“可信根r o t ( r o o t o f t r u s t ) ”出发，在每一次转 换平台计算环境时，信任状态可以通过传递的方式保持下去而不被破坏，那么平 台上的计算环境始终时可信的，在了新环境下的各种操作也不会破坏平台的可信， 平台本身的完整性得到保证，终端安全自然也缛到了保证，这就是信任链的传递 机制。如图2 - 2 所示。 2 1 5 可信终端 图2 - 2 信任链传递模式 f i g2 - 2t r u s t e dc h a i nt r a n s f e rm o d e 计算机终端信息安全是网络安全的基础，终端安全目前已成为制约我国信息 化建设的难题和障碍。因此，如何提高现有计算机终端的安全防护能力，保护计 8 丝瘟窑堑厶堂鲤翌垃迨塞瑰餐塑迟 算机信息不被非法获取、盗用、篡改和破坏，已成为当i ；i 我国信息安全保障工作 中亟待解决的关键问题。 可信终端p j 的最终任务是保护计算杌资源( 硬件、软件和数据) 被合法用户安 全使用，禁止非法用户随意使用计算机资源，保护计算机硬件、软件和数据不因 非法用户原因而遭到破坏、更改和泄露，即使计算机丢失或被盗，也能防止信息 泄漏。 如图2 - 3 所示，可信终端包括含可信硬件的底层硬件和含可信内核的操作系 统。可信硬件的主要作用是提供密码保护和安全存储；含可信内核的操作系统， 也可叫做安全操作系统，其主要作用是提供双重执行环境。 一再 + - 斗+ 一 冒曰i 图2 3 习信终端基本结构 f i g2 - 3a r c h i t e c t u r eo f t r u s t e dt e r m i n a l 安全操作系统是可信计算平台的核心和基础，没有安全的操作系统，就没有 安全的应用，就不能使t p m 发挥应有的作用。 基于可信模块的安全操作系统【4 】提供以下功能：基于密码的用户身份认证：主、 客体标识和多级强制访问控制；文件完整性验证和加密保护；网络通信保护和访 问控制；外设控制管理；安全日志审计：安全策略与非安全应用系统的匹配问题， 同时要考虑可用性和可管理性。 可信计算基( t c b ) 是操作系统安全的基础，其内部要结构化，模块间相互 独立，要用硬件资源隔离关键和非关键部件。t p m 是t c b 的根，由此可以建立 信任链，如图2 4 所示。 9 e 峦窑堑厶堂亟堂位盈塞 琢益翅望! 图2 可信任链传递与可信任环境 f i g2 - 4t r u s t e dc h a i nt r a n s f e ra n dt r u s t e de n v i r o n m e n t 我们知道，智能卡( s m a r tc a r d ) 也是一种与t p m 类似安全子系统，具有身 份认证，加密解密、数字签名等多种安全保密手段，而且不易伪造，具有很高的 安全保密性。因此国外很多公司都纷纷开展将智能卡用于可信计算机的应用开发 工作。 本文介绍的移动介质安全控制系统是安全操作系统的子系统，处在可信链的 o s 内核节点，包括u s bk e y 身份认证和文件过滤驱动两大模块。u s bk e y 负责 密码保护和安全存储，并且提供双因素身份认证和硬件数据加密等安全保护功能； 文件过滤驱动完成密码处理工作，包括对文件的访问控制和设备管理。 2 2 访问控制模型 访问控制是系统安全控制的第二道防线，它阻止合法用户对其权限范围外的 信息的非法访闽。在访问控制中应遵循的一条很重要的安全原则是“最小特权原 则”或称为“知所必需”，也就是说对于任何一个主体来说，他只应该具有为完成 他的工作职责需要的最小的权力。 访问控制是信息安全保障机制的核心内容，它是实现数据保密性和完整性机 制的主要手段。访问控制是为了限制访问主体( 或称为发起者，是一个主动的实 体；如用户、进程、服务等) 对访问客体( 需要保护的资源) 的访问权限，从而 使计算机系统在合法范围内使用。访问控制机制决定用户及代表一定用户利益的 程序能做什么，及做到什么程度。 访问控制安全模型一般包括主体、客体，以及为识别和验证这些实体的子系 i o 些立室理厶堂亟堂位j 盆塞 亟圣 趔望! 统和控制实体| 日j 访问的参考监视器。由于网络传输的需要访问控制的研究方发 展很快，有许多访问控制模型被提出来。建立规范的访问控制模型，是实现严格 访问控制策略所必须的。2 0 世纪7 0 年代，h a r r i s o n ，r u z z o 和u l l m a n 提出了h r u 模型。接着，j o n e s 等人在1 9 7 6 年提出了t a k e g r a n t 模型。随后，1 9 8 5 年美国军 方提出可信计算机系统评估准则t c s e c ，其中描述了两种著名的访问控制策略： 自主访问控制模型( d a c ) 和强制访问控制模型( m a c ) 。基于角色的访问控制 ( r b a c ) 由f e r r a i o l o 和k u h n 在1 9 9 2 年提出的。考虑到网络安全和传输流，又 提出了基于对象和基于任务的访问控制。 w i n d o w s 操作系统采用的是自主访问控制系统，灵活度高、粒度小，缺点是 信息在移动过程中其访问权限关系会被改变，通过添加用户会使访问权限传递给 另外一个用户，从而使不具备访问权限的用户也可以访问该目标资源。 本章重点研究强制访问控制模型和基于角色的访问控制模型，在分析各种模 型优缺点的基础上，移动介质完全控制系统中采用了符合实际应用需求的访问控 制模型。 2 2 1 自主访问控制模型 自主访问控制模型5 1 ( d a cm o d e l ，d i s c r e t i o n a r ya c c e s sc o n t r o lm o d e l ) 是根 据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问 策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己 所据有的客体的访问权限授予其它用户。自主访问控制又称为任意访问控制， l d 小i x ，1 n 虮x 、w i n d o w s n t 或是s e r v e r 版本的操作系统都提供自主访问控制 的功能。在实现上，首先要对用户的身份进行鉴别，然后就可以按照访问控制列 表所赋予用户的权限允许和限制用户使用客体的资源。主体控制权限的修改通常 由特权用户或是特权用户( 管理员) 组实现。 任意访闯控制对用户提供的这种灵活的数据访闯方式，使得d a c 广泛应用在 商业和工业环境中。由于用户可以任意传递权限，那么，没有访问文件f i l e l 权限 的用户a 就能够从有访问权限的用户b 那里得到访问权限或是直接获得文件 f i l e l 。因此，d a c 模型提供的安全防护还是相对比较低的，不能给系统提供充分 的数据保护。 自主访问控制模型的特点是授权的实施主体( 1 、可以授权的主体；2 、管理 授权的客体；3 、授权组) 自主负责赋予和回收其他主体对客体资源的访问权限。 d a c 模型一般采用访问控制矩阵和访问控制列表束存放不同主体的访问控制信 息，从而达到对主体访问权限的限制目的。 业瘟奎塑厶鲎亟堂位监塞 塑釜 塑望1 2 2 2 强制访问控制模型 强制访问控制1 5 6 j ( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 利用强制性的规定防止信 息的不安全流动，可以非常有效地防止特洛伊木马的攻击。它在一些对操作系统 安全要求很高的部门如多级军用系统中对信息安全的维护作用是非常大的。 ，m a c 是一种多级访问控制策略，用来保护系统确定的对象，对此对象用户不 能进行更改。也就是说，系统独立于用户行为强制执行访问控制，用户不能改变 他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照 安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户 对资源的访问。由于m a c 通过分级的安全标签实现了信息的单向流通，因此它一 直被军方采用。其中最著名的是b e l l l ap a d u l a 模型和b i b a 模型：b e l l l ap a d u l a 模型具有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露； b i b a 模型则具有不允许向下读、向上写的特点，可以有效地保护数据的完整性。 1 、b l p 强制访问控制模型 b e l l l ap a d u l a 保密性模型1 7 , 8 1 是最早被研究的强制访问控制模型，也是最常用 的安全模型之一，b e l l l ap a d u l a j d 丕是第一个能够提供分级别数据机密性保障的安 全策略模型( 多级安全) 。b l p 模型是根据军方的安全政策设计的，它要解决的本 质问题是对具有密级划分的信息访问进行控制。b l p 模型的出发点是维护系统的保 密性，有效地防止信息泄露。 b e l l - l ap a d u l a 强制访问控制模型是对安全策略形式化的第一个数学模型，是 一个状态机模型。用状态变量表示系统的安全状态，用状态转换规则来描述系统 的变化过程。 在b e l l l a p a d u l a 强制访问控制模型中，给每一个数据对象定义个安全级( 安 全标签) 表示它所包含信息的敏感性；同时给每一个用户定义一个安全级( 安全标 签) ，表示他能访问什么样的数据。每个安全级由两部分组成：密级和范围的集合。 密级是密级集合中的一个元素，密级集合可表示为： 绝密( t o ps e c r e t ) ，机密 ( s e c r e t ) ，秘密( c o n f i d e n t i a l ) ，受限( r e s t r i c t e d ) ，公开( u n c l a s s i f i e d ) 。此集合为 全序的，即：绝密 机密 秘密 受限 公开。范围的集合是系统中非分层元素 的集合的一个子集。这一集合的元素依赖于所考虑的环境和应用领域。例如：在 某企业中范围的集合可以是人事部门、生产部门、销售部门等等。安全级的集合 形成一个满足偏序关系的格，此偏序关系称为支配( ) 。支配关系的形式定义 如下： 设安全级l l = ( c l ，s 1 ) ，l 2 = ( c 2 ，sz ) ，其中，c 表示密级，s 表示范围的集合。 l 1 支配l 2 成立，当且仅当： e塞窑丝厶璺亟堂 位迨塞 题签翅望! ( 1 ) c l c 2 ，( 2 ) s 2 s ，记为l 1 l 2 。 类似的，还可以给出下面的三个定义： l l l 2 ，当且仅当：c 1 c 2 ，s i s 2 。 l l s t u d m n 。r b a c 中通常定义不同的约束规则来对模型中的各种 关系进行限制，最基本的约束是“相互排斥”约束和“基本限制”约束，分别规 定了模型中的互斥角色和一个角色可被分配的最大用户数。r b a c 中引进了角色 的概念，用角色表示访问主体具有的职权和责任，灵活地表达和实现了企业的安 全策略，使系统权限管理在企业的组织视图这个较高的抽象集上进行，从而简化 了权限设黄的管理，从这个角度看，r b a c 很好地解决了企业管理信息系统中用 户数量多、变动频繁的问题。 相比较而言，r b a c 是实施面向企业的安全策略的一种有效的访问控制方式， 其具有灵活性、方便性和安全性的特点，目前在大型数据库系统的权限管理中得 到普遍应用。角色由系统管理员定义。角色成员的增减也只能由系统管理员束执 行，即只有系统管理员有权定义和分配角色。用户与客体无直接联系，他只有通 过角色j 。享有陔角色所对应的权限，从而访问相应的客体。因此用户不能自主地 j e瘟窑丝厶堂堡堂位 i 金塞珏圣翅迟 将访问权限授给别的用户，这是r b a c 与d a c 的根本区别所在。r b a c 与m a c 的区别在于：m a c 是基于多级安全需求的，而r b a c 则不是。 角色控制既可以在自主访问控制中运用，也可以在强制访问控制中运用”“。 基于角色控制的优点是不需要对用户一个一个的进行授权，可以通过对某个 角色授权，来实现对一组用户的授权，简化了系统的授权机制。另外，多级安全 访问控制，严格地根据安全级的比较来控制主体对信息的访问权，不能完全反映 现实工作中的模式，信息有时需要从高向低流，或横向流动。利用对“角色”授 权的方式可以使强制访问控制实现起来较为灵活。 2 ，2 4 访问控制模型设计 通过对几种强制访问控制模型的研究，针对企业和政府的实际应用情况，本 文将b l p 强制访问控制模型与基于角色的访问控制模型相结合i l 引，在移动介质安 全控制系统中采用了一个简化了的基于角色的强制访问控制模型，下面对这个模 型进行介绍。 在这里我们沿用上面b l p 模型关于主客体安全级关系的一些相关定义。系统 事先定义一些角色，但不需要对这些角色赋予权限，取而代之的是为角色定义不 同的安全级别，如定义角色安全级别的偏序关系为0 级用户 l 级用户，2 级用户 3 级用户。同时我们也对安全读写规则进行了简化来满足需求。 定义1 ：r 萨- - r , l ，r s 2 ，r 蛐 表示主体角色的集合；r o = r o l ，r 0 2 ，r 朋) 表示客体角色 的集合。 定义2 ：设主体角色的当前安全级为l c ( r s ) ，客体角色的安全级为l r o ；s c ( i ) 表示i 的安全级别。 读写规则：仅当主体角色的安全级别大于等于客体的安全级别才允许该主体 读写该客体。即该角色下的主体不能读写安全级别高于所在角色的数据； 该规则用偏序关系可以表示为： 当且仅当s c ( r s ) s c ( r o ) ，r s r o ，记为i c ( r s ) lr 0 ，允许读写操作。 在这个模型中安全级别是同角色对应的，实际应用中根据用户在其本部门中 的位置及权限与责任分配一定的角色。那么，管理员只需要根据角色来管理资源 就行了。在某个部门中( 如大的军事部门) 角色与安全级别的关系是可以预先确定 的，而用户( 或者人员) 是可流动的，而分配给用户某个预先确定的角色则比较简 单。在移动介质安全控制系统中采用这种简化的基于角色的强制访问控制模型， 可以有效实现对信息流的控制，更符合实际应用的需要。 e 塞銮迤厶= ! ；兰夔 堂位迨 塞 亟釜翅迅 2 3 本章小结 本章介绍